脅威にさらされる産業制御システム─
その実態がトレンドマイクロの調査で明らかに

ICS/SCADA特化のハッキングツールが5,000円でネット販売も

トレンドマイクロは2019年9月、製造業のサイバーセキュリティリスクに関する調査結果を公表した。レポートの名称は、『製造業特有のサイバーセキュリティリスク ~インダストリー4.0における脅威と対策~』。その概要は、IoTセキュリティに関する情報提供サイト「IoT Security」※1でも公開されている。

今回の調査で判明した事実の中で最もショッキングなことの一つと言えるのは、産業制御システム(ICS)、あるいは監視制御システム(SCADA)に特化したハッキングツールが、販売会社のWebサイトにて5,000円程度で販売されていたことである(図1)。

例えば、誰でもアクセス可能なある販売者のWebサイトでは、PLC※2のハッキングツールが50米ドル~100米ドル(5,400円~10,800円)※3で販売されていたという。これらのツールは不正利用以外の用途でも使えるものの、サイバー攻撃者の手に渡ることで、産業制御システムへの攻撃に悪用されるおそれが強い。

また、闇市場のオンライン掲示板では、産業スパイ活動を目的に、ある製造企業のCAD/CAMファイルや機密文書を要求している投稿も確認されている。

情報システムの領域では、かねてからマルウェアの開発ツールやハッキングツールの売買が闇市場で活発に行われ、それがマルウェアの多様化や亜種の増大、さらにはサイバー攻撃の蔓延につながったとされている。販売されているツールを使うことで、必ずしも高度な技術力を持たない人物やグループでも、特定の組織に対してサイバー攻撃をしかけることが可能となった。今後、産業制御システムを狙ったサイバー攻撃の闇市場が成長することで、今日の情報システムと同様の状況が産業制御システムの領域でも形成される可能性が大いにある。

1 IoT Security の当該ページ
2 PLC(Programmable Logic Controller):ICSで使用される機械を制御するための装置
3 2019年9月12日時点の換算レート(1米ドル=108円)で計算

図1:インターネット上で販売されているPLCのパスワード解析ツールの画面例

(出典:トレンドマイクロ調査『製造業特有のサイバーセキュリティリスク ~インダストリー4.0における脅威と対策~』)

製造用機器が認証なしでインターネット上に露出

攻撃を受けるリスクにさらされながらも、サイバー攻撃に対して無防備な産業制御システムは依然として多いようだ。

過去のトレンドマイクロの調査でも明らかになったように、今回の調査でも、直接インターネットに接続され、外部から認証なしでアクセス可能な産業制御システムが確認された。その中には、外部から認証なしでアクセス可能な折り曲げ工具のHMI※4も確認されている。

こうした機器はリモートでの操作が可能な状態のまま露出していることも考えられ、その場合、第3者が外部から製造用機器の値を改ざんしたり、不正なコマンドを送信したりすることが可能となり、結果として、生産活動の遅延や停止、不良品の生産といった問題に発展する可能性がある。

ちなみに、こうした状況に対してトレンドマイクロでは、以下のような対策を講じるようアドバイスしている。

・自社設備の棚卸しを行い、運用上、その機器がインターネットに接続したり、外部から遠隔管理を行ったりる必要があるかどうかを再検討する。
・インターネット接続が必要な機器については、多要素認証を踏まえた認証を設けたり、接続を許可する端末の制御を行ったりする。
・インターネット接続が必要な機器に対しては、運用ルール(アクセスパスワードの使い回しの排除や担当業務から外れた社員のアカウントの消去、など)を設定し、ルール順守を徹底させる。

4 HMI(Human Machine Interface):システム管理者やオペレーターがシステム全体の状況を確認したり、制御したりするためのインターフェース。

狙われる産業制御システムの脆弱性

今回の調査では、産業制御システムの脆弱性に対する警鐘も鳴らされている。調査報告によると、2018 年9月には「Industrial Control Systems Computer Emergency Response Team(ICS-CERT)」に対して、ICS・SCADA に関連する 343 件の脆弱性が提出されたという。ICS-CERTによると、こうした脆弱性の数は 2014年に急増し、その傾向は今日まで続いているようだ。

加えて深刻なのは、報告された343件の脆弱性のうち132 件については、脆弱性攻撃コードが「ExploitDB」で公開されていた点にある。これは、サイバー犯罪者を含む誰もが産業制御システムの脆弱性を検証/攻撃するために、それらの脆弱性攻撃コードを利用可能であることを意味する。

旧来、産業制御システムは情報システム系のネットワークやインターネットから切り離されたクローズドな環境に置かれていた。そのため、『サイバー攻撃にさらされるリスクは低い』との判断から、サイバー攻撃への備えが十分ではないことが間々ある。また、産業制御システムの耐用年数がIT機器に比べて圧倒的に長いことから、メーカーによるサポート切れから何年も経過しているようなOSがそのまま使われ続けていることもある。

確かに、閉ざされた環境に置かれたシステムは、通常の情報システムに比べて脅威が侵入するリスクは低い。ただし、「外部ネットワークに接続されていない=100%安全」とは言えない。工場に対する脅威の侵入経路は外部のネットワークだけではなく、外部から持ち込まれたUSBやPCを介して工場内ネットワークに脅威が侵入するケースも珍しくない。それに加えて今日では、第4次産業革命(インダストリー4.0)の流れによって、情報系のネットワークやインターネットに産業制御システムが接続されるケースも増えている。今後、こうしたケースが増えていけば、結果として、工場が警戒すべき対象が一挙に増え、防御の難度がさらに上がることは間違いない。

製造業における情報システムと産業制御システムとの融合は、工場のスマート化によって生産の効率化を図るうえでも、顧客ニーズを起点にバリューチェーンの最適化を実現するうえでも、避けては通れない道筋とも言える。その行く手を、サイバー犯罪によって阻まれないようにするためにも、今から、ITシステムに対するのと同レベルのセキュリティ対策を産業制御システムに講じていくことが重要と言えるのである。

記事公開日 : 2019.12.12
※ 記載内容は2019年12月現在のものです